Trin 1. Planlæg parathed til Microsoft Defender XDR handlinger
Gælder for:
- Microsoft Defender XDR
Uanset hvilken modenhed du har i dine sikkerhedshandlinger, er det vigtigt, at du tilpasser dig dit SOC (Security Operations Center). Selvom der ikke er en enkelt model, der passer til alle organisationer, er der visse aspekter, der er mere almindelige end andre.
I følgende afsnit beskrives kernefunktionerne i SOC.
Giv en situationsbestemt bevidsthed om moderne trusler
Et SOC-team forbereder sig på og jagter nye og indgående trusler, så de kan arbejde sammen med organisationen om at etablere modforanstaltninger og svar. Dit SOC-team skal have personale, der er højt uddannet i moderne angrebsmetoder og -teknikker og forstår trusselsaktører. Delt trusselsintelligens og strukturer som f.eks. Cyber Kill Chain eller MITRE ATT&CK-strukturen kan styrke dine medarbejdere med trusselsanalytikere og trusselsjægere.
Angiv svar på første, andet og potentielt tredje niveau for cyberhændelser og -hændelser
SOC er frontlinjen i forsvaret til sikkerhedshændelser og hændelser. Når en hændelse, trussel, angreb, politikovertrædelse eller søgning efter overvågning udløser en besked eller et kald til handling, foretager SOC-teamet en vurdering for at evaluere og indeholde den eller eskalere den til undersøgelse. Soc-førstelinjereagere skal derfor have et bredt teknisk kendskab til sikkerhedshændelser og -indikatorer.
Centraliser overvågning og logføring af organisationens sikkerhedskilder
SOC-teamets kernefunktion er normalt at sikre, at alle sikkerhedsenheder, f.eks. firewalls, systemer til forebyggelse af datatab, systemer til forebyggelse af datatab, systemer til administration af sårbarheder og identitetssystemer fungerer korrekt og overvåges. SOC-holdene arbejder med de bredere netværkshandlinger, f.eks. identitet, DevOps, cloud, program, datavidenskab og andre forretningsteams for at sikre, at analysen af sikkerhedsoplysninger er centraliseret og sikret. Derudover er SOC-teamet ansvarlig for at vedligeholde logge over dataene i brugbare og læsbare formater, hvilket kan omfatte fortolkning og normalisering af forskellige formater.
Etabler operationelt parathed for red-, blue- og purple-teamet
Hvert SOC-team bør teste sit beredskab som svar på en cyberhændelse. Test kan udføres via træningsøvelser, f.eks. table-tops og øvelseskørsler med forskellige personer inden for it, sikkerhed og på virksomhedsniveau. Individuelle træningstræningsteams oprettes på baggrund af repræsentative roller og spiller enten rollen som en forsvarer (Blue Team), en hacker (Red Team) eller som observatører, der søger at forbedre metoder og teknikker for både de blå og røde teams gennem styrker og svagheder, der afdækkes under øvelsen (Purple Team).
Næste trin
Trin 2. Udfør en SOC-integrationsparathedsvurdering ved hjælp af Nul tillid Framework
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.